2

我想创建一个时事通讯应用程序,用户自然必须确认他们已注册时事通讯,这样我们就不会在某些机器人输入地址时向他们发送垃圾邮件。

我的想法是简单地向用户发送一封电子邮件,其中包含一个链接,该链接在 url 中有一个秘密,这是电子邮件地址和一些秘密站点密钥的哈希。

我的问题如下:有人可以通过注册几个帐户并因此接收带有他的地址的秘密哈希值,猜测站点密钥并因此注册她想要的每个电子邮件地址吗?

我看不出这样做有什么好处,但如果这很容易,很有可能有人会这样做,我会被列入黑名单。

我不存储未激活用户帐户的原因仅仅是我不想每 x 天从数据库中清除它们。

4

2 回答 2

5

如果您确保使用带有完全随机盐/站点密钥的sha1之类的东西,那么尝试通过字典攻击对站点密钥进行逆向工程将是徒劳的。

如果有人确实想合成他们自己的散列来注册任意地址,更有效地利用他们的时间是访问您的服务器以读取源代码:)

于 2009-07-21T09:57:54.503 回答
2

我认为最好生成一个随机秘密并将其保存在数据库中。这样就没有什么可以猜到的了。(至少没有授予添加任何电子邮件的权限)。

于 2009-07-21T09:57:00.903 回答